Active Directory とグループポリシーの移行

Transcript Active Directory とグループポリシーの移行

Windows Server 2003 サポート終了前！
新環境への移行解説解説セミナー
Active Directory とグループポリシーの移行編
アジェンダ
• 移行の手順確認
• 移行前に知っておきたい基礎知識
• Active Direcrtory の移行
• 新機能の検討
• まとめ
移行の手順確認
サポート終了までの期間
• 2015 年 7 月 15 日（日本時間）に
Windows Server 2003 のサポートが終了
• サポート終了までの間に、移行を完了させるための、計画や実施が必要
現状の把握
検討と準備
移行の実施
現状の把握
対象サーバーの洗い出し
運用方法の確認
• 移行すべきWindows Server 2003 サーバーの台
数
• バックアップ手法
• 構成情報（ドメイン構成、ネットワークトポロジーな
ど）
動作している役割サービスや
アプリケーションの洗い出し
• Active Directory のドメインコントローラー
• ファイルサーバー
• Exchange Server や SQL Server などのサー
バーアプリケーション
• IIS で動作している Web アプリケーションサーバー
• その他のアプリケーションサーバー
• 長期保存しているバックアップデータ
ドキュメントの有無の確認
• 設計書や試験仕様書の有無
現状の把握：アプリケーション
• 既存のアプリケーションやドライバーなど、アップグレードするOSに対応して
いるかの確認は必須
•
•
•
•
マルウェア対策ソフト
UPS関連
デバイスドライバー
プリンタードライバー
検討と準備
• 移行先の決定
• 移行方法の決定
• オンプレミス
• 新規構築
• アップグレード
• 物理マシン
• 仮想マシン
• Windows Server 2003 から
Windows Server 2012 R2 へのイ
ンプレースアップグレードは不可
• クラウド
• SaaS
• IaaS
物理マシン
• P2VおよびV2V
• 「サポート終了対策」にはならない
Hyper-V
Windows Azure
[参考] Windows 2012 R2 がサポートしているインプレースアップグレードパス
使用している Windows オペレーティングシステム
アップグレード先のエディション
Windows Server 2008 R2 Datacenter SP1
Windows Server 2012 R2 Datacenter
Windows Server 2008 R2 Enterprise SP1
Windows Server 2012 R2 Standard または
Windows Server 2012 R2 Datacenter
Windows Server 2008 R2 Standard SP1
Windows Server 2012 R2 Standard または
Windows Server 2012 R2 Datacenter
Windows Web Server 2008 R2 SP1
Windows Server 2012 R2 Standard
Windows Server 2012 Datacenter
Windows Server 2012 R2 Datacenter
Windows Server 2012 Standard
Windows Server 2012 R2 Standard または
Windows Server 2012 R2 Datacenter
・既存のドメインコントローラーが 64 ビット版であること (Windows Server 2012 R2 は 64 ビットのみ提供)
・同じ言語であること
・既存の Server Core ドメインコントローラーを Windows Server 2012 R2 のフルインストールモードに
切り替える (および、その逆方向に切り替える) 場合は、インプレースアップグレード後に構成を変える
検討と準備
• 新機能の確認
• 設計
• 移行手順、リカバリー手順の設計
• スケジュールの確定
• 移行、運用に関わるドキュメント作
成
• 事前検証
• 機材やサービスの新規調達のため
の業務処理（予算化なども）
• その他各種調整
移行の実施
• 新規ドメイン構築
• ドメイン設計の基本はシングルドメイン、シングルフォレスト
• アップグレード
• 既存ドメインを維持したままアップグレード
• 仮想化
• P2V ではサポート終了対策にならない
• V2V による VMware から Hyper-V への移行
• 物理環境もしくは仮想環境の Windows Server 2003 を仮想環境の
Windows Server 2012 R2 へ移行
移行実施時の考慮点
• サービスやアプリケーション、環境によっては、複数回にわける必要あり
• 必ずデータのバックアップを取得してから実施
• 何か問題が発生した場合、ロールバックできる状態を保持
• 十分に時間の余裕を持たせたタイムスケジュールの確保
• 業務時間外の十分な日程スケジュール
P2V および V2V の使用
• Windows Server 2003 サーバーを P2V および V2V で仮想マシン
化して使用し続ける「塩漬け」は、「サポート終了対策」の観点から非推
奨
• 移行を進める際に P2V および V2V が有効に使える場合
•
•
•
•
移行作業実施前にハードウェア保守が終わってしまう
ハードウェアが老朽化していて移行作業に耐えられない可能性がある
完璧なバックアップを保持したい
本番環境を完璧にコピーした検証環境を作りたい
P2V および V2V の手法
• System Center 2012 Virtual Machine Manager のP2Vおよび
V2V機能
• System Center 2012 R2は P2V 対象外
• Microsoft Virtual Machine Converter
• 無償提供の V2V ツール
• Disk2vhd
• Windows Sysinternals
• サードパーティー製移行ツール
• Platespin Migrate（ネットアイキュー）
• Backup&Recovery（アクロニス）
• System Recovery（シマンテック）
Disk2vhd
• P2V が可能な無償ツール
• マイクロソフトの無償ツール群である、Windows Sysinternals の 1 つ
（ノーサポート）
• Windows Server 2003 SP1 以降で、インストールすることなく実行し
て、物理サーバーを仮想化イメージに変換することが可能
• VHDX に対応

Disk2vhd
http://technet.microsoft.com/ja-jp/sysinternals/ee656415.aspx
Disk2vhd の使用方法
1. Prepare for use in
Virtual PC はチェック
オフ
2. VHDXファイルの出力
パスを指定
3. 変換するディスクを選
択
4. [Create]をクリック
1
2
3
4
事前検証の重要性
• 多くの場合、移行は新規構築よりもリスクや制約が多くなる
• 事前に、可能な限り本番環境に近い検証環境を用意して、何度も事前
検証を行うことを推奨
• P2VやV2Vによる仮想化が不可の場合は、可能な限り本番環境に類似した検
証環境を新規構築する
• Hyper-V上に仮想環境を構築することにより、チェックポイントを使用したトライ&
エラーが可能
スケジュール（移行実施日）についての参考情報
• 大がかりな移行の場合は、連休中の実施などが必要になる
• 2015 年 7 月までの連休の把握
7 /19（土）～21（月）
9 /13（土）～15（月）
2014 年 10/11（土）～13（月）
11/ 1（土）～ 3（月）
11/22（土）～24（月）
年末年始休暇
1 /10（土）～12（月）
2015 年
ゴールデンウイーク
移行前に知っておきたい基礎知識
Active Directory 移行とドメイン環境整理の指針
統制が取れず、何となく運用
乱立したドメイン環境
おすすめ
新ドメイン
新ドメイン
新ドメイン
シングルフォレスト
シングルドメイン
もっともシンプルで効率が高い
運用の簡素化
ポリシーの一元化
シングルフォレスト
マルチドメイン
複雑な組織や会社で有効
例えば親会社と子会社を管理
親と子会社は独立した運用可能
ツリーは 1 階層まで
新ドメイン
旧ドメイン
マルチフォレスト
マルチドメイン
既存ドメインをそのまま活用
運用負荷や複雑性は変わらず
移行途中の段階として利用
ドメインとは ?
ドメインは、
アカウントを登録して、
管理する単位
ドメイン
1 つのドメインに、
何万個ものアカウントを登録可能
ユーザーアカウント
グループアカウント
ドメインに登録するアカウント
・ユーザーアカウント
・グループアカウント
・コンピュータアカウント
Active Directory
データベース
コンピュータ
アカウント
フォレストとは ?
フォレストは、Active Directory ドメイン環境にお
ける、
• 一番大きな管理範囲
• 1 つ以上のドメインで構成する
• 一番大きな認証範囲
• フォレスト内は、シングルサインオンが可能
ツリー : 木
フォレスト : 森
シングルフォレスト/シングルドメイン
•
推奨するドメインモデル
•
要件に合わない場合のみ、マルチドメイン、マルチフォレストを検討する
フォレスト
ドメイン
ドメインを集約することによって、
社内の ID 管理基盤、認証基盤、セキュリティ基盤をシンプルに構成できる
Active Directory ログオンプロセス
• Active Directoryでは、DNSが必須
• DCの情報をクライアントに提示する
DNSサーバ
ドメインコントローラ
②応答
③ ログオン（認証）要求
① ドメインコントローラは？
（SRVリソースレコード）
SYSVOL
• %systemroot%\sysvol
• 以下のファイルを格納
• スクリプトファイル（ログオン、ログオフ、スタート、シャットダウン）
• グループポリシーのファイル
• グループポリシーテンプレート（GPT）
• FRS（File Replication Service）またはDFSR（DFS Replication）を使
用して、同一ドメイン内のドメインコントローラー間で複製し合う
• FRS は、従来のバージョンから使用しているサービス
• DFSR は、Windows Server 2008 ドメイン機能レベルで使用可能なサービス
GC（グローバルカタログ）
• フォレスト内の全ドメインパーティションの部分レプリカ
• 全ドメインの全オブジェクトが対象だが一部の属性項目だけを持つ
• 既定でフォレストルートドメインの最初のDCがGCとなる
• 機能
• フォレスト全体でのオブジェクトの検索を提供する
• ユニバーサルグループのメンバーシップを提供する
• UPNログオン名を管理する
• ポイント
• シングルフォレスト・シングルドメイン構成の際は、全てのDCにGCの設定を行うこと
により検索のパフォーマンスが上がる
FSMO（操作マスター）とは
• FSMO：Flexible Single Master Operation
• フォレストルートドメイン（1台目のDC）
• マルチマスターレプリケーションの競合の課題を解決
• ADにおける重要機能（シングルマスターレプリケーション）
•
•
•
•
•
スキーママスター
ドメイン名前付けマスター
PDCエミュレーター
RIDマスター
インフラストラクチャマスター
操作マスターの配置
1 ドメインにつき 1 台
・ RID マスター
・ PDC エミュレーターマスター
・インフラストラクチャマスター
1 フォレストにつき 1 台
・スキーママスター
・ドメイン名前付けマスター
DC
DC
既定では、
フォレストとドメインに、
最初にインストールした
ドメインコントローラーが、
操作マスターの役割を持つ
1 ドメインにつき 1 台
・ RID マスター
・ PDC エミュレーターマスター
・インフラストラクチャマスター
DC
DC
FSMO（操作マスター）
◎ フォレスト単位 ( 1 フォレストにつき 1 台)
操作マスター
説明
スキーママスター
・スキーマに対するすべての更新と変更
ドメイン名前付けマスター
・フォレスト内でのドメインの追加または削除、ドメインツリーの変更
◎ ドメイン単位 (1 ドメインにつき 1 台)
操作マスター
説明
RID マスター
・RID プールを、ドメインコントローラーに割り当てる
PDC エミュレーター
・ドメイン内の別のドメインコントローラーで変更されたパスワードの優先複製
・時刻同期
・グループポリシーのマスターコンピューター
インフラストラクチャマスター
・グループメンバーのアカウント名の更新
※ マルチドメイン構成においては、インフラストラクチャーマスター
とグローバルカタログサーバーを 1 台で構成してはいけない
操作マスターを別のサーバーに転送 (変更)
• 以下の状況において、GUI ツールまたは NTDSutil.exe
を実行して操作マスターを変更可能
•
•
•
・
・
・
・
・
ドメインをアップグレード
ドメインコントローラーの老朽化
ドメインコントローラーの負荷分散
例：Windows Server 2003 DC の操作マスターを
Windows Server 2012 DC に転送 (変更)
スキーママスター
ドメイン名前付けマスター
RID マスター
PDC エミュレーターマスター
インフラストラクチャマスター
↓
Windows Server 2003
DC を撤去可能
変更
Windows
2003 DC
Windows
20012 R2 DC
ADの機能について
• Windows Server 2003 から Windows Server 2012 R2 まで、
次のように複数バージョンがある
• Windows
• Windows
• Windows
• Windows
• Windows
Server
Server
Server
Server
Server
2003 / 2003 R2
2008
2008 R2
2012
2012 R2
! 機能レベルの注意事項 !
・機能レベルは自動的に
上がらない ⇒ 手動で上げる
・基本的に、
1 度上げたら下げない
ドメイン機能レベル
Windows Server 2008 機能レベルをスタート地点として行き来できる
フォレスト機能レベルと同等のレベルまで下げることが可能
Windows Server
2008
Windows Server
2008 R2
Windows Server
2012
Windows Server
2012 R2
Set-ADDomainMode –DomainMode <機能レベル> -Identity <ドメイン名>
フォレスト機能レベル
Windows Server 2008 機能レベルをスタート地点として行き来できる
ADゴミ箱が有効な場合Windows Server 2008 R2まで下げることが可能
Windows Server
2008
Windows Server
2008 R2
Windows Server
2012
Windows Server
2012 R2
Set-ADForestMode –ForestMode <機能レベル> -Identity <ドメイン名>
Windows Server 2008 の Active Directory 追加機能
• 機能のサービス化
• RODC（Read Only Domain Controller）のサポート
• グループポリシーの基本設定および管理用テンプレート
• 監査機能の改善
• フリガナのサポート
• きめ細やかなパスワードポリシー
グループポリシーの基本設定とポリシー
管理領域
グループポリシーの基本設定
グループポリシー設定
強制
基本設定は強制的に適用されず、ユーザーインターフェイスは無効に
なりません。基本設定の更新と適用は 1 回だけ行えます。
設定は強制的に適用され、ユーザーインターフェイスは
無効になります。設定は更新されます。
柔軟性
レジストリ設定、ファイルなどの基本設定項目を簡単に作成できます。
ローカルコンピュータまたはリモートコンピュータから個別のレジストリ設
定またはレジストリブランチ全体をインポートします。
ポリシー設定を追加するには、アプリケーション側でのサ
ポートや管理テンプレートの作成が必要です。ファイル、
フォルダなどを管理するポリシー設定は作成できません。
ローカルポリシー
ローカルグループポリシーでは使用できません。
ローカルグループポリシーでも使用できます。
対応性
グループポリシーに対応していないアプリケーションをサポートしています。
グループポリシーに対応したアプリケーションが必要です。
レジストリの場所と動作
元の設定は上書きされます。基本設定項目を削除しても、元の設定
は復元されません。
元の設定は変更されません。設定はレジストリの Policy
ブランチに格納されます。ポリシー設定を削除すると、元
の設定が復元されます。
ターゲット設定とフィルタ処理
ターゲット項目の種類ごとにユーザーインターフェイスが用意されており、
ターゲットは細かく設定できます。基本設定項目レベルでのターゲット設
定がサポートされています。
フィルタ処理は、Windows Management
Instrumentation (WMI) ベースで行われるので、
WMI クエリを記述する必要があります。フィルタ処理は、
GPO レベルでサポートされています。
ユーザーインターフェイス
大半の設定は、慣れ親しみのある使いやすいインターフェイスを使用し
て構成できます。
大半の設定には、代替のユーザーインターフェイスが用
意されています。
出典「グループポリシーの基本設定の概要」(Jerry Honeycutt 著)
グループポリシーの保存場所
グループポリシーコンテナー
ジェクト (GPC)
グループ
ポリシー
オブ
• AD DS にオブジェクトとして保存
⇒ドメインパーティションの System\Policy
コンテナー
• リンクやバージョン番号などの基本属性
• 管理者がグループポリシーエディターで設定した各
設定値は保存されない。
• AD DS レプリケーションによって同じドメインの
DC に複製
グループポリシー
テンプレート (GPT)
• DC 上の SYSVOL 共有に作成されるファイル群
⇒ %windir%\SYSVOL\sysvol\<ドメイン名>
\Policies フォルダー
• 管理者がグループポリシーエディターでの設定した
各設定値を保存
• FRS(File Replication Service) または DFS(DFS
Replication)によって同じドメインの DC に複製
ADMファイル
• Windows Server 2003までのバージョンで使用
• GPOを作成すると、ローカルに格納されているTemplateファイルがGPO
ごとにコピーされる
• Sysvolフォルダの肥大化が問題だった
Template
Sysvol
GPO
GPO作成時に
コピーされる
Template
4MB
Sysvol
GPO
Template
Template
Policy
Policy
GPO
Template
Policy
FRSにより
複製
4MB
GPO
Template
Policy
Sysvolフォルダ
のサイズが大きく
なってしまう
ADMXファイル
• Templateファイルは、GPOごとにコピーして保持しない
• Sysvolフォルダのサイズとレプリケーショントラフィックが減少
手動でコピーする
Template
Template
Sysvol
Sysvol
セントラルスト
ア
セントラルスト
ア
Template
Template
GPO
各GPOフォ
ルダのサイズ
が小さくなる
FRS、DFS-R
により複製
Policy
Policy
GPO
Policy
GPO
GPOの編集時
に参照する
GPO
Policy
GPOごとにTemplate
ファイルがコピーされない
ため、Sysvolフォルダの
サイズとレプリケーション
トラフィックが減少
管理用テンプレートのローカルストア
• 編集をおこなっているコンピューターの
ローカル
な %windir%\PolicyDefinitions
に保存されている管理用テンプレート
を使用する。
• ADMX ファイルおよび ADML ファイル
は、OS やサービスパックによって異な
るため、一貫した管理インターフェース
が維持できない。
グループ
ポリシー
編集
ADMX ファイル
ADML ファイル
ADMX ファイル
ADML ファイル
管理用テンプレートのセントラルストア
• DC の SYSVOL フォルダー
(%windir%SYSVOL\sysvol
\<ドメイン名
>\PolicyDefinitions )
に管理用テンプレートをコピーする。
• ローカルに保存されている管理用
テンプレートよりセントラルストアの
管理用テンプレートが優先使用さ
れるため、編集を行うコンピュー
ターにかかわらず一貫した管理イン
ターフェースが維持できる。
ADMX ファイル
ADML ファイル
グループ
ポリシー
編集
きめ細やかなパスワードポリシー
• ドメイン内のユーザーやグループに対して、個別にパスワードルールを適用できる機能
• パスワード設定オブジェクト (PSO) を作成し、
管理者や監査担当者など、その人の職務や立場に応じて、パスワードルールを厳しく設定することができる
• Windows Server 2012 から GUI が提供された
• [Active Directory 管理センター] (ADAC) を使用する
一般社員
期限：90 日
履歴：3 回記録
管理者
期限：30 日
履歴：5 回記録
監査グループ
期限：60 日
履歴：4 回記録
ヘルプデスク
グループ
Windows Server 2008 R2 の Active Directory 追加機能
• Active Directory 管理センター
• Active Directory Web サービス
• Active Directory ベストプラクティスアナライザー
• オフラインドメイン参加のサポート
• 管理されたサービスアカウントのサポート
• Active Directory のごみ箱機能のサポート
Active Directory のごみ箱
• 削除したオブジェクトを、属性を維持したまま簡単に復元できる機能
• Windows Server 2012 から GUI が提供された
• [Active Directory 管理センター] (ADAC) を使用する
ユーザー
オブジェクト
コンピューター
オブジェクト
グループ
オブジェクト
削除
復元
削除
削除
復元
“ごみ箱” には、属性情報を持ったままのオブジェクトが入る
復元
Windows Server 2012 の Active Directory 追加機能
• ダイナミックアクセス制御
• Active Directoryによるライセンス認証
• DirectAccessオフラインドメイン参加のサポート
• グループの管理されたサービスアカウントのサポート
• 仮想化されたドメインコントローラーの複製
• ドメインコントローラーの安全な仮想化
仮想化ドメインコントローラーのサポート
• 仮想ドメインコントローラーの仮想ハードディスク (VHD) を
コピーまたは複製してはいけない
→ VHD/VM のクローニング機能のサポートにより、解決
• 仮想ドメインコントローラーの仮想マシン (VM) をエクスポートしてはいけ
ない
→ VHD/VM のクローニング機能のサポートにより、解決
• 仮想ドメインコントローラーのスナップショットを使用してはいけない
→ GenerationID のサポートにより、解決
仮想化ドメインコントローラーのクローニング（複製）
• クローン元仮想ハードディスク (VHD)/仮想マシン (VM) をエクスポート
/インポートすることで、仮想ドメインコントローラーを容易に展開できる
• クローン元に、複製構成ファイル (XML) を持たせておく
Win2012DC-CLONE
Win2012DC2
仮想ドメイン
コントローラー
仮想ドメイン
コントローラー
複製構成
ファイル
VHD
ファイル
<クローン元>
Windows 2012
以降のハイパーバイザー
エクスポート/
インポート
クローン元となる
仮想ドメインコントローラーを
1 つ用意しておく
複製構成
ファイル
VHD
ファイル
複製構成ファイル
を読み込んで、
仮想マシンを
起動させる
<クローン先>
Windows 2012
以降のハイパーバイザー
仮想化ドメインコントローラーのスナップショットの適用
• Windows Server 2008/2008 R2 の仮想化ドメインコントローラーに、
スナップショットを適用してはいけなかった
• Active Directory レプリケーションが、スナップショットの適用によって時間が逆戻りすることに対応していないため、
データベースの整合性に問題が生じた
• Windows Server 2012/2012 R2 の仮想化ドメインコントローラーでは、適用可能
• スナップショットの適用によって時間が逆戻りしても、
Active Directory データベースの整合性を維持できるようになった
DC
適用
仮想マシン
2013 年 10 月 1 日
スナップショット 3
2013 年 9 月 30 日 14:00
スナップショット 2
2013 年 9 月 20 日 14:00
スナップショット 1
2013 年 9 月 16 日 14:00
仮想マシンのスナップショット
Windows
2012 以降の
ハイパーバイザー
Windows Server 2012 R2 の Active Directory 追加機能
• 多要素認証のサポート
• Protected Usersグループのサポート
• 認証ポリシーサイロのサポート
• ワークプレース参加
Windows Server 2012 R2 ドメインにアップグレード
• ビジネス要件の変化に対応できる
•
•
•
•
•
物理サーバーから、仮想化環境へ
社内ネットワークのシステムから、クラウドサービスへ
社内のデスクトップから、モバイルデバイスへ
増加する BYOD (Bring Your Own Devices; 私物端末の業務利用) への対応
最新のグループポリシーテンプレートの使用
など
もちろん、Windows Server 2012 までの機能もすべて使用可能
・
・
・
・
・
・
詳細な監査ログの取得
細かい設定が可能なパスワードポリシー
Active Directory のごみ箱
動的アクセス制御 (DAC)
ドメインコントローラーの仮想化のサポート
Server Core への容易な切り替え
など多数
最新 OS にアップグレードするメリット
• 保守契約期限が長い
2013 年
現在
Windows XP
Windows Server 2003
Windows 8 &
Windows Server 2012
2016 年
延長サポート
延長サポート
2018 年
2020 年
2022 年
2014
4/9
2023 年まで
サポートが提供される
2015
7/15
メインストリームサポート
延長サポート
※ Windows XP と組み合わせて運用している場合は、Windows XP と合わせてアップグレードできるとより良い
• ネイティブな 64 ビット環境を利用できる
• 64 ビット版のみ提供されている
• 現在は、ハードウェア、ソフトウェア共に 64 ビット環境が充実
•
64 ビット版には、32 ビット版のときの 4 GB のメモリサイズ上限がない
• サーバハードウェアを購入するタイミングで、新しい OS に移行するのも良い
Active Direcrtory の移行
Active Directory の移行方法
• Windows Server 2003 ドメインコントローラーによる Active
Directory を、Windows Server 2012 R2 環境へ移行する方法は
複数ある
• Active Directory ドメインをアップグレード
• Active Directory ドメインの再編とオブジェクトの移行
• Windows Server 2003 ドメインコントローラーを、Windows
Server 2012 R2 へ直接アップグレードする、
（オペレーティングシステムの）インプレースアップグレードは不可。
（Windows Server 2008 R2 SP1 以降は可能）
Active Directory の 2 つの移行方法の比較
方法
おすすめ
ドメインアップグレード
ドメインの統合や再構築
概要
既存ドメインに新しいドメインコント
ローラーを追加して古いドメインコント
ローラーを削除（降格）
新しいドメインを構築して既存ドメイ
ンからオブジェクトを順次移行
メリット
• 容易
• ドメインの再構成が可能
• 段階的な移行が可能
• ドメインの構成は変わらない
• 段階的な移行が困難
• 難易度が高い
デメリット・課題
ドメインをアップグレードする移行方法とは
• 既存の Windows Server 2003 ドメインに、
新たに Windows Server 2012 R2 ドメインコントローラーを追加して、
古いドメインコントローラーを削除(降格)して、アップグレードする

Active Directory ドメインサービス (AD DS) の社内への展開
http://technet.microsoft.com/ja-jp/library/hh472160.aspx
「ドメインをアップグレードする」移行方法の流れ
フォレスト / ドメイン
Phase 0 : 準備
機能レベルを
Windows Server 2003
にする
フォレストの機能レベル
：Windows Server 2003
ドメインの機能レベル
：Windows Server 2003
Windows Server 2003
Windows Server 2003
「ドメインをアップグレードする」移行方法の流れ
フォレスト / ドメイン
Phase 1
新しいドメインコントローラー
を追加する
Windows Server 2012 R2
フォレストの機能レベル
：Windows Server 2003
ドメインの機能レベル
：Windows Server 2003
Windows Server 2012 R2
ディレクトリ情報
の複製
Windows Server 2003
Windows Server 2003
「ドメインをアップグレードする」移行方法の流れ
フォレスト / ドメイン
Phase 2
FSMO の
操作マスターの役割を
転送する
Windows Server 2012 R2
フォレストの機能レベル
：Windows Server 2003
ドメインの機能レベル
：Windows Server 2003
FSMO
Windows Server 2012 R2
ディレクトリ情報
の複製
Windows Server 2003
Windows Server 2003
「ドメインをアップグレードする」移行方法の流れ
フォレスト / ドメイン
Phase 3
古いドメインコントローラーを
降格する
FSMO
Windows Server 2012 R2
Windows Server 2012 R2
Windows Server 2003
Windows Server 2003
フォレストの機能レベル
：Windows Server 2003
ドメインの機能レベル
：Windows Server 2003
「ドメインをアップグレードする」移行方法の流れ
フォレスト / ドメイン
Phase 4
適切な機能レベルにする
Windows Server 2012 R2
フォレストの機能レベル
：Windows Server 2012 R2
ドメインの機能レベル
：Windows Server 2012 R2
FSMO
Windows Server 2012 R2
Windows Server 2012 R2
「ドメインをアップグレードする」移行方法の流れ
フォレスト / ドメイン
+α
SYSVOLの複製方法変更
ゴミ箱の有効化
セントラルストア
など
フォレストの機能レベル
：Windows Server 2012 R2
ドメインの機能レベル
：Windows Server 2012 R2
FSMO
Windows Server 2012 R2
Windows Server 2012 R2
「ドメインの再編とオブジェクトの移動」による移行方法とは
• 新規にドメインを作成して、ツールを使って徐々にアカウントを移行する方法
• アカウント移動は ADMT（Active Directory Migration Tool）を使用
• パスワード移行は PES（Password Export Server）を使用

Active Directory Migration Tool （ADMT）QFE
https://connect.microsoft.com/site1164
＜マイクロソフトアカウントでログインする必要あり＞

Active Directory 移行ツール (ADMT) ガイド: Active Directory ドメインの移行と再構築
http://www.microsoft.com/ja-jp/download/details.aspx?id=19188
「ドメインをアップグレードする」移行方法の流れ
Phase 0 : 準備
移行元フォレスト / ドメイン
移行元の機能レベルを
Windows Server 2003
にする
Windows Server 2003
「ドメインをアップグレードする」移行方法の流れ
Phase 1
移行元フォレスト / ドメイン
移行先フォレスト / ドメイン
Windows Server 2012 R2
ドメインコントローラーで、移行先
のフォレスト/ドメインを構築して
信頼関係を結ぶ。
Windows Server 2012 R2
Windows Server 2003
信頼関係
「ドメインをアップグレードする」移行方法の流れ
Phase 2
移行元フォレスト / ドメイン
移行先フォレスト / ドメイン
Windows Server 2008 R2
コンピューターを「ADMT用
サーバー」として、移行先ドメイン
に参加させる。
Windows Server 2012 R2
ADMT 3.2 QFE では
Windows Server 2012 R2
に対応した。
Windows Server 2003
Windows Server 2008 R2
信頼関係
「ドメインをアップグレードする」移行方法の流れ
Phase 3
移行元フォレスト / ドメイン
移行先フォレスト / ドメイン
ADMTやPESをインストール。
その他、各種設定。
Windows Server 2012 R2
PES
Windows Server 2003
ADMT
Windows Server 2008 R2
信頼関係
「ドメインをアップグレードする」移行方法の流れ
Phase 4
移行元フォレスト / ドメイン
移行先フォレスト / ドメイン
各種アカウントの移行を実行
Windows Server 2012 R2
PES
ADMT
アカウント
Windows Server 2003
Windows Server 2008 R2
信頼関係
「ドメインをアップグレードする」移行方法の流れ
Phase 5
移行元フォレスト / ドメイン
移行先フォレスト / ドメイン
終了処理
Windows Server 2012 R2
PES
ADMT
アカウント
Windows Server 2003
Windows Server 2008 R2
信頼関係
「ドメインの再編とオブジェクトの移動」の注意点
• ドメインを新規構築して、アカウントを移動するため、手間がかかる
• ドメイン名など、設定や環境が大きく変わるため、各種システムへの影響
が大きい
• 旧ドメインに参加していたコンピューターなどは、新ドメインへ参加しなおす
必要があるため、再起動必須
• 「ADMT Ver.3.2（QFE）」が最新版
Windows Server 2012 / 2012 R2 へのインストール可能
Tips
• ユーザーの移行とは、ADMTツールを使用して移行先ドメインに旧ドメイン
と同じ名前のアカウントを作成すること
• それまでのアカウント登録において、必要な情報が不足していたり統一されたルー
ルがないなどの場合は、旧ドメインのアカウント情報を引き継がずに新アカウントを
作成することも考慮する
Tips: PowerShell を使用したユーザー登録
Uesr.ps1
$strData = "c:\tools\test.txt"
#CSVファイルの場所
$strOU = "ou=Sales,dc=contoso,dc=com" #ユーザーを作成するOU
$csvDatas = Import-Csv $strData
ForEach ($csvData in $csvDatas)
{
New-ADUser -Name $csvData.cn -SamAccountName $csvData.sAMAccountName DisplayName $csvData.DisplayName -UserPrincipalName $csvData.userPrincipalName Enabled $true -Path $strOU -AccountPassword (ConvertTo-SecureString -AsPlainText
"Pa$$w0rd" -Force)
}
Test.txt
cn,sAMAccountName,DisplayName,userPrincipalName
"user01","user01","user01","[email protected]"
"user02","user02","user02","[email protected]"
"user03","user03","user03","[email protected]"
「ドメインのアップグレード」による
Active Directory の移行方法の手順
Phase 0：準備
• ドメインコントローラーのシステム状態のバックアップ（機能レベルを上げる前に実行）
• ドメインの機能レベルと、フォレストの機能レベルを「Windows Server 2003」にする
（Windows Server 2003 よりも古いドメインコントローラーが存在しないこと）
• 「Active Directory ドメインと信頼関係」で操作
参考：準備
• DCが複数台ある場合、ネットワークから（FSMOでない）DCを1台切り
離すことによって、ロールバックが有効な場合がある
• DC 上で稼働させる必要のある、アプリケーション、デバイスドライバー類は
Windows Server 2012 R2 対応かを確認
• ドメイン内にWindows NTなどのレガシーOSが存在する場合、デフォル
トの状態ではログオンできない
• GPOの[Windows NT 4.0 と互換性のある暗号化アルゴリズムを許可する]を
有効にする
• http://support.microsoft.com/kb/942564/ja
Phase 1：新しいドメインコントローラーの追加（1/3）
• Windows Server 2012 R2 コンピューターをドメインに参加させて、
ドメインの管理者でログオンして操作
• 「サーバーマネージャー」から「役割と機能の追加ウィザード」を起動して、
「Active Directory ドメインサービス」を追加
Phase 1：新しいドメインコントローラーの追加（2/3）
• 「役割と機能の追加ウィザード」の「結果」ページの
「このサーバーをドメインコントローラーに昇格する」リンクを開いて、
「Active Directory ドメインサービス構成ウィザード」を開き進める
Phase 1：新しいドメインコントローラーの追加（3/3）
• スキーマの拡張など、ドメインのアップグレード処理はウィザードが実行
• 前提条件にパスできたならば、インストールができる
• インストールが終わると自動で再起動する
Phase 2：FSMO 操作マスターの転送（1/3）
• FSMO は 5 種類
• デフォルトの状態では、フォレストルートドメインのドメインコントローラーが全ての
FSMO を所有
• スキーママスター（フォレストに 1 台）
• ドメイン名前付けマスター（フォレストに 1 台）
• PDC エミュレーター（ドメインに 1 台）
• RID プールマスター（ドメインに 1 台）
• インフラストラクチャマスター（ドメインに 1 台）
Phase 2：FSMO 操作マスターの転送（2/3）
• FSMOの確認
• GUI とコマンド（さまざまな方法で確認ができる）
• Netdom query FSMO
おすすめ
• FSMOの移動
• GUIツール
• Active Directory スキーマ
• 「regsvr32 schmmgmt.dll」をコマンドプロンプトより実行
• Active Directory ドメインと信頼関係
• Active Directory ユーザーとコンピューター
• Ntdsutil コマンド
おすすめ
Phase 2：FSMO 操作マスターの転送（3/3）
• GUIで転送を行う場合は、操作マ
スターの種類ごとに使用するツール
が異なる
• Ntdsutilコマンドの場合、一つの
ツールで全ての操作マスターを転送
可能
• 転送が失敗する場合は強制を行う
必要がある
ntdsutil
activate instance ntds
roles
connections
connect to server <servername>
q
transfer naming master
transfer infrastructure master
transfer PDC
transfer RID master
transfer schema master
q
<servername> は転送先のサーバー名を入力する

Ntdsutil.exe を使用してドメインコントローラーに FSMO の役割を強制または転送する
http://support.microsoft.com/kb/255504/ja
Phase 3：古いドメインコントローラーの降格（1/2）
• Windows Server 2003 ドメインコントローラーで、「dcpromo.exe」を実
行して、「Active Directory のインストールウィザード」で「降格」する
チェックはオフのまま
Phase 3：古いドメインコントローラーの降格（2/2）
• 再起動前に、DNSの参照先を新しいDCのDNSに向ける
• 既存のDCがDNSをホストしている場合、降格と同時にDNSも削除されるので
DNS参照先が自分自身のままだと再起動時にクエリに失敗する
• ドメインコントローラーの降格に失敗する場合
• 「dcpromo.exe /forceremoval」で強制降格を行ってから、「メタデータクリー
ンアップ」処理を行う

ドメインコントローラーの降格に失敗した後、Active Directory のデータを削除する方法
http://support.microsoft.com/kb/216498/ja

Metadata Cleanup
http://technet.microsoft.com/en-us/library/cc731035.aspx

Clean Up Server Metadata
http://technet.microsoft.com/ja-jp/library/cc816907.aspx
Phase 4：機能レベルを上げる
• ドメインの機能レベルと、フォレストの機能レベルを
「Windows Server 2012 R2」にする
• 「Active Directory ドメインと信頼関係」で操作する
移行後の追加作業
• 必要に応じて、Windows Server 2003 ではできなかった機能が
Windows Server 2012 R2 では数多く追加されているので検討する
• お勧めの追加機能
• セントラルストアの追加
• Active Directory のゴミ箱
• SYSVOL のレプリケーションプロトコルの変更
セントラルストアの追加
• C:\Windows\PolicyDefinitions フォルダーを
「C:\Windows\SYSVOL\domain\Policies」配下にコピー
Sysvol
手動でコピーする
Template
C:\Windows\PolicyDefinitions
に格納されている
セントラルストア
Template
GPO
Policy
GPO
Policy
Active Directory のゴミ箱の有効化
• Active Directory のごみ箱機能を有効化することにより、削除したオブジェクトの復元が容
易になる
• Active Directory 管理センターより行う
• 有効化すると無効化できない
FRS と DFS-R サービス
• FRS（File Replication Service）サービス
• Active Directory インストール時のドメイン機能レベルが
「Windows Server 2003」以下の場合、FRS を使用する
• DFS-Replicaiton サービス
• Active Directory インストール時のドメイン機能レベルが
「Windows Server 2008」以上の場合、既定で DFS-R を使用する
• ただし、Active Directory インストール時のドメイン機能レベルが
「Windows Server 2003」で、後から「Windows Server 2008」以上に
上げた場合は、FRS から DFS-Replication への切り替え作業が必要（手
動）
Windows Server 2012 R2 では、FRS の使用は非推奨となっている
SYSVOL フォルダーの複製サービス
•
Windows Server 2003 までは、
•
•
File Replication サービス（FRS）のみ
Windows Server 2008 からは、
•
FRS の他、DFS-Replicaiton （分散ファイルシステム）サービスも使用可能
Windows
2012 R2 DC
グループポリシーの
設定ファイル、ログオン
スクリプトなどを格納
しているフォルダー
Windows
2012 R2 DC
SYSVOL
フォルダー
SYSVOL
フォルダー
FRS
または
DFS-R
2 台目の
Windows Server
2012 R2 DC を
追加
SYSVOL のレプリケーションプロトコルの変更
• FRS から DFSR へ移行
• DFSR では差分のみを複製する為、
ネットワークの負荷が削減される
• DFSR は Journal Wrap Error
から自動復旧できる
• Dfsrmig コマンドを使用
• 機能レベルを「Windows Server
2008」以上に上げてから、
DfsrMig.exe を実行

dfsrmig.exe /CreateGlobalObjects
dfsrmig.exe /GetGlobalState
dfsrmig.exe /SetGlobalState 1
dfsrmig.exe /GetGlobalState
dfsrmig.exe /SetGlobalState 2
dfsrmig.exe /GetGlobalState
dfsrmig.exe /SetGlobalState 3
dfsrmig.exe /GetGlobalState コマンドを
実行することにより、各状態が正常に移行できた
かを確認する
FRS から DFSR への移行 (SYSVOL)
http://blogs.technet.com/b/jpntsblog/archive/2009/12/04/frs-dfsr-sysvol.aspx
[参考] DfsrMig.exe による DFS-R への切り替え
① DFSR 移行のグローバル設定を「開始 (0)」に設定
• DfsrMig.exe△/SetGlobalState△0
② DFSR 移行のグローバル設定を「準備完了 (1)」に設定
• DfsrMig.exe△/SetGlobalState△1
⇒ C:Windows \SYSVOL_DFSR フォルダーが作成される
③ DFSR 移行のグローバル設定を「リダイレクト済み (2)」に設定
• DfsrMig.exe△/SetGlobalState△2
④ DFSR 移行のグローバル設定を「削除済み (3)」に設定
• DfsrMig.exe△/SetGlobalState△3
※ このコマンド実行後、複製フォルダーを元に戻すことはできない
動作確認
• イベントビューアーでのログの確認
• dcdiag コマンドや repadmin コマンドによる状態確認
• ベストプラクティスアナライザーの実行
その他考慮点
• DC には DNS を併置させ、Active Directory 統合モードにする
• シングルドメインの場合は、全ての DC で GC を有効にする
• クライアントの DNS の設定を変更したくない場合は IP アドレスをサー
バー側で引き継ぐ必要がある
• Windows Server 2003 の DC 兼 DNS サーバーを降格させた後
• シャットダウンして物理削除（LANケーブルを抜く）
• 異なる IP アドレスに変更
• 新規 Windows Server 2012 R2 に既存の IP アドレスを割り当てる
• サーバーの IP アドレスを静的登録している場合は DNS レコードの確認
• サーバーの IP アドレスを動的登録している場合は再起動が推奨
新機能の検討
社内 AD DS を最大限に生かす役割である AD FS
パブリッククラウドとの
ID連携
Salesforce.com
Google Apps
Microsoft Azure
Active
Directory
パートナー企業と
の ID 連携
BYODデバイス登録と
デバイス認証
AD FS により社内リソースの集中的
なアクセス制御が可能
マルチファクター認証
Firewall
ネットワークロケーションや
IP アドレス、ユーザー属性、
デバイス属性などによる、
マルチファクター認証/認可
業務
アプリケーション
ADでのアカウント（ID）運用
• 企業内だけの利用（推移的信頼で対応）
• 企業間での利用（フォレスト間での信頼関係で対応）
• 外部アプリケーション（クラウド）の利用（AD FSで対応）
クレームベースの認証と認可
IdP
SP
：ユーザー認証、デバイス認証を行いトークン（アサーション）を発行
：トークンから本人を識別し、ロールを決定してアクセスを認可する
クレームベースの認証と認可
信頼
IdP（認証）
SP（認可）
クレームを格納
ユーザー
情報
属性ストア
トークン
トークン
業務
トークンを解析
• 本人識別
• ロール決定
利用者
プロトコルが存在する
ロール
管理簿
アクセス権はロールによって決定される
ロールを決定するための「クレーム」は SP が提示する
アプリケーションには「ロール」決定のためのロジックを実装
Token
Claims
IdP（認証）
mail
値
ユーザー
情報
属性ストア
値
SP（認可）
name
値
company
値
title
署名
提
示
業務
ロール
管理簿
トークンを解析
• 本人識別
• ロール決定
アイデンティティフェデレーションのメリット
ドメインを超えたリソースの利用
認証方式の違いがアプリケーションに影響しない
Ｃ社 IdP
B 社 IdP
A 社 IdP
Security Token Service（STS）
SP 側は STS に IdP を登録。STS
が IdP の違いを吸収する。
必要なクレームは SP 側が IdP に提
示する。
CRM
ロール
管理簿
AD FS（STS）を使用した ID フェデレーションの例
Active Directory ドメイン
トークンの
やり取り
業務サービス
クラウド上の
業務サービス
クラウド上の
業務サービス
Windows Server 2012 R2 で BYOD インフラストラクチャを実現する
• 今後、社員にモバイルデバイスを配布したいと思うが、
社内リソースへのアクセスを安全に行わせたい
今後、増えると
予想されるニーズ
Windows Server 2012 R2 の
“社内参加 (Workplace Join)” 機能で対応できる
BYOD に対応した社内参加 (Workplace Join) 機能
• BYOD とは、使用する端末の種類や使用する場所 (自宅や出張先な
ど) を問わず、個人が所有するデバイスを業務に活用する利用形態のこと
• これまでの Windows Server
• 社内ネットワークに目を向け、Active Directory ドメインを中心とした
ID 管理/アクセス制御機能を提供
• Windows Server 2012 R2 の Workplace Join (社内
参加)
• Active Directory ドメインに参加しない（参加できない）、
個人の PC やデバイスに対しても、デバイス認証を行える
“Workplace Join (社内参加)” した特定のデバイスに対してのみ、
アプリケーションへのアクセスを許可する、といったアクセス制御が可能
社内参加 (Workplace Join) できるデバイスの OS
• サポート
• Windows 8.1/RT 8.1
• Windows 7
• iOS (iPhone/iPad)
• サポート予定
• Android
Windows Intune や System Center 2012 R2 Configuration Manager
のデバイス管理機能が強化されている
社内参加 (Workplace Join) したら、何ができるの？
• Web サイトへのアクセス制御をデバイスベースでできる
•
•
•
•
企業内の Web サイト
企業内の SharePoint サイト
クラウドサービスの Office 365
Windows Identity Foundation (WIF) を使用して、
独自に開発したアプリケーションなど
社内参加 (Workplace Join) したからといって、
企業内の共有フォルダーなど、すべての社内リソースにアクセスできるわけではない
まとめ
• Windows Server 2003 のサポート期間終了まであとわずかです。無
理のない移行計画およびスケジュールを立てましょう。
• 移行方法は「Active Directory ドメインをアップグレード」による移行が
可能かを検討していただき、要件が伴わない場合は、「Active
Directory ドメインの再編とオブジェクトの移行」をしましょう。
• 最新の OS に移行することにより、今までの機能はもちろんのこと、最新
機能の導入（SSO、BYODなど）も検討し、企業システムの最適化を
検討しましょう。